CVE-2025-31324 — это критическая уязвимость, обнаруженная в платформе Visual Composer для SAP NetWeaver, в частности, в версии 7.50, которая получила оценку CVSS 10.0. Данная уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, загружать произвольные файлы на сервер SAP, что может привести к удаленному выполнению кода (RCE) и полной компрометации системы.
Как злоумышленники используют уязвимость
Использование уязвимости заключается в отправке специально созданных HTTP-запросов на конечную точку /developmentserver/metadatauploader. Недавние расследования по реагированию на инциденты выявили следующие действия злоумышленников:
- С начала марта 2025 года хакеры начали выполнять HTTP-запросы, нацеленные на уязвимую конечную точку.
- С помощью уязвимости они успешно загрузили веб-оболочку JSP, таких как helper.jsp и cache.jsp, что обеспечивало постоянный доступ к скомпрометированным системам.
- Злоумышленники внедряли дополнительные инструменты, включая GOREVERSE, для создания обратных оболочек.
Технические детали злонамеренной активности
Инструмент GOREVERSE поддерживает множество функциональных возможностей, таких как управление по SSH и передача файлов. Примечательно, что злоумышленники использовали скомпрометированные системы для выполнения команды PowerShell, извлекая сценарии в кодировке Base64. Этот процесс позволил им управлять системой более эффективно.
Также известно, что:
- Скрипт распознавал системный домен и имя пользователя, что позволяло ему манипулировать системой.
- Была проведена настройка среды OpenSSH для установления удаленного подключения к серверу управления (C2) злоумышленника.
- Идентифицированный адрес C2 — 47.97.42.177, ранее связанный с другими вредоносными действиями и предполагаемыми хакерами из Китая.
Превентивные меры и рекомендации
Palo Alto Networks внедрила превентивные меры для защиты пользователей от этой уязвимости. В частности, их брандмауэр нового поколения, оснащенный расширенными возможностями предотвращения угроз, может блокировать попытки использования CVE-2025-31324 с помощью специальных сигнатур.
Кроме того, Cortex Xpanse может выявлять уязвимые приложения SAP NetWeaver в Интернете, что способствует повышению уровня защиты организаций.
Организациям настоятельно рекомендуется следовать официальным рекомендациям по устранению этой уязвимости, так как последствия её использования могут привести к серьезным системным сбоям и утечке данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Критическая уязвимость CVE-2025-31324 угрожает безопасности SAP NetWeaver".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.